◆张佳华
“互联网+”新形态下工控系统的网络安全浅析
◆张佳华
(上海复合材料科技有限公司 上海 201114)
互联网作为现在计算机行业的最重要产物,随着各行各业的发展和计算机技术的快速发展,已经走进了各家各户各个行业,而“互联网+”作为目前特别流行的一个产业,对现在的工业也产生了深远的影响。如何把网络安全的等级进行提升,由一开始的被动防御,变成主动防御防护,软件运行在操作系统之上,就会存在不可避免的漏洞等。本文基于“互联网+”的新形势环境,讲述了工控系统的网络安全防护,供读者参考。
安全;网络防护;互联网+
在计算机的发展史上曾发生过多次木马病毒入侵电脑的事件,其中比较有名的就是微软的安全漏洞导致的电脑被锁死的事件,解决方法只有交解锁费或者刷系统,而这两个方式都会造成非常严重的经济损失。类似的事件还有,例如“网络天空”,“Worm_Mytob.x”这两个病毒都是通过邮件的方式对电脑发动攻击,这些外在的威胁在这两年已经变得越来越严重,进而导致网络犯罪的事件也明显增多[1]。而工业互联网作为连接工业全系统、全价值链、全产业链,保证智能化工业全面发展的关键部分和基础设施,现已成为传统产业向智能产业、实体经济和虚拟经济结合的关键点和核心载体,已逐步表现出超强的统领能力,让传统行业有了新的发展契机。智能出行现在早已经开始普及,共享单车、无人驾驶、无人机配送货物、外卖等等产业都是在传统模式上进行的升级更新,这样的大型企业一旦遭受到网络攻击,就会导致用户信息的流失,用户对高科技产物信任度的缺失都会影响到企业的生存[2]。
在这两年的国家级论坛上也开展了多次网络安全会议和集体讨论,这其中的原因就有包括伊朗核试验的系统遭受到网络攻击,而这件事件不仅对伊朗造成了恐慌,也给世界的互联网安全蒙上了一层阴影,我国也从这件事件之后对网络安全提出了更高的要求。图1表示了我国大陆被篡改网站数量类型分布。在2018年的政府工作报告中,工信部部长苗圩表示,2018年要深入实施工业互联网创新发展战略,开展工业互联网发展的323行动。其中的第一个3就是要打造网络、平台、安全三大体系。从这方面也能看出政府对网络安全的重视程度明显的提高。工信部继《工业控制系统信息安全事件应急管理工作指南》、《工业控制系统信息安全防护指南》、《工业控制系统信息安全防护能力评估工作管理办法》等指导文件后又发布了《工业控制系统信息安全行动计划》。如果说前几个文件是指导性文件的话,那么该文件就是前面3个文件的扩展和阐述,阐述了在未来我们要在工业控制系统安全方面如何去做和重点去做什么,也明确提出了建立多级联动的安全机制和全国工控安全在线监测网络、全国工控安全应急资源库、仿真测评平台、信息共享平台、信息通报平台等多个战略目标。政府单位对网络安全这么重视可以看出网络安全在未来发展前景中占有绝对的必要性,作为新时代的企业如果想要与时俱进就必须注重发展网络安全。
网络攻击的方法可以分为多种形式,例如利用MAC的唯一性,或者篡改IP地址等,这些都是涉及传输方面的一些方式,再者就是利用程序的漏洞。
图1 分布图
在一些公认的平台上把网络攻击分为四种形式,也俗称四类攻击法,第一类是拒绝服务攻击,这主要包括一些网络轰炸的攻击方式。第二类是利用型攻击,这个一般就是随着你的操作来一步步地进行攻击,木马病毒并不是很容易被发现,包括特洛伊木马,缓冲区溢出等等,这些看似是比较老旧的攻击方法,但产生的危害还是非常明显的。第三类是信息收集型攻击,包括地址扫描、端口扫描、反响映射、DNS域转换等这些涉及硬件方面的攻击,其中利用MAC地址也是属于这一种,第四类是假消息攻击,这种攻击比较常见,例如常见的网络诈骗也可以划分到这个领域。
作为工业程序,一般受到邮箱攻击,还有类似特洛伊木马病毒的攻击方法可能性比较大,产生的危害也比较明显,数据的丢失,程序的破坏都会对工业的正常运转造成伤害。还有计算机病毒,严重的计算机病毒可以导致数据丢失、网络中断、服务器瘫痪等等问题,进而也可以修改计算机上的内容,以假乱真,而这都是我们要防御的对象。
抵御入侵可以分为主动预测和主动防御,以及被动防御。主动监测到危险之后进行报警,然后对其进行主动防御,这也就是入侵监测系统。在去年的一份调查报告中指出,有85%的企业认为他们可以做好网络防御,但在半年内就有40%的企业遭到了攻击,这次调查涉及了5个国家共600个企业负责人,他们分别来自美、英、澳、马来西亚和新加坡等多个国家,企业规模均超过1000人以上,可以说是非常具有权威性了。那我们应该怎么做才可以更大概率地抵御攻击呢,首先,划分出程序的自抵抗攻击并增大攻击难度,例如工程师站、服务器的密码定期更换,防止密码泄露,DCS上锁,用DCS组态的电脑不准连接企业管理网或者外网。还要对文件进行加密,使用全磁盘加密可以确保写入到存储磁盘的所有数据被默认加密以增大攻击难度,这为企业提供了很好的基础保护。如果企业要保护敏感信息,他们应该为其最敏感的文件夹创建单独的加密文件卷。
TrueCrypt是加密文件卷这方面最流行的软件程序之一,它可以用来在项目突然被关闭之前创建加密文件卷。当然还有开源程序VeraCrypt和CipherShed,这两款产品都可以用于Windows、OS X和Linux。VeraCrypt是TrueCrypt的分支,而CipherShed是源自上一版本的TrueCrypt或者版本7.1a。
USB闪存驱动器作为用在计算机大型数据文件传送的工具展现出了它的物美价廉,对于一些对网络安全要求不高的用户和企业都是非常不错的选择,但对安全要求高的企业和政府单位来说就不安全了,其中容易被盗或者说不小心丢失这种情况就会造成不必要的损失,当然了这也只是小概率事件,最主要的还是操作不当造成的数据泄露这样的问题危害比较大,并且删除了还可以通过数据软件恢复以前删除的数据。这个弊端加大了不安全系数,现在的解决方案一般是用Windows或者OS X平台内置的加密功能来对USB闪存存储的数据进行加密,但综合来看并不推荐使用USB闪存驱动器[1]。
多因素身份验证是指在允许你登录到系统之前,对额外的信息来源进行验证。这是在门口又设立的一道关卡,更像是门口的保安,对进入的数据进行扫描和检查可以过滤掉不安全的数据,现在很多的云存储服务都在使用,例如Dropbox,以及Google apps等流行的服务,所以极力推荐使用。
对邮箱攻击的抵御方法是在Gmail.com或Outlook.com等域名注册邮箱地址,作为接收密码重置消息的备份电子邮箱账户。
上述方法是比较常用的一些方法,可以抵御绝大部分攻击,但最主要的还是要增大攻击难度,例如定期更换密码(密码使用多种字符类型,密码长度较长),定期检查路由器,这都可以极大地增加攻击难度。
对于操作系统的安全漏洞,我们需要保持系统的最新版本,不要擅自更改系统文件,进行安全审核后再更改,因为系统的安全也就决定了是否有后门可以走。
网络安全作为非常热门的话题被人们热议,贴近我们的日常生活,人们总是幻想人工智能机器人取代人类统治世界,这就是对网络安全和计算机安全的思考,而工业作为网络安全的风口浪尖上的部分,所面临的损害也都是普通损害的上千万倍,如果支付宝受到网络攻击那对国民经济造成的危害可想而知,所以作为新形势下的工业一定要注重网络安全建设。
[1]胡景军,陈云,洪诗定.SCADA系统实现Web服务的关键技术[J].化工自动化及仪表,2014.
[2]沈培璐,陈彬.基于管控一体化系统的第三方数据通信整合[J].化工自动化及仪表,2016.
[3]美报:“震网”开启网络战新时代[N/OL].新华网,2015.